各种计算机病毒及防治

1、各种( zhn)计算机病毒及防治8.1计算机病毒概述8.2DOS环境下的病毒8.3宏病毒8.4网络计算机病毒8.5反病毒技术8.6软件防病毒技术8.7典型(dinxng)病毒实例CIH病毒介绍共七十七页本章(bn zhn)学习目标（1）了解计算机病毒的定义、发展历史、分类、特点、入侵途径、流行特征、破坏行为、作用(zuyng)机制。（2）了解DOS环境下的病毒、宏病毒和网络计算机病毒的分类、传染过程、防治和清除方法。（3）熟悉基本的反病毒技术，包括计算机病毒的检测、防治与感染病毒后的修复；掌握杀毒软件的选购指标、反病毒软件的原理。（4）掌握如何恢复被CIH病毒破坏的硬盘信息。返回本章首页共七十

2、七页8.1计算机病毒概述(i sh)8.1.1计算机病毒的定义8.1.2计算机病毒的发展历史8.1.3计算机病毒的分类8.1.4计算机病毒的特点8.1.5计算机病毒的隐藏(yncng)之处和入侵途径8.1.6现代计算机病毒的流行特征8.1.7计算机病毒的破坏行为8.1.8计算机病毒的作用机制返回本章首页共七十七页8.1.1计算机病毒的定义(dngy) “计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 “计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在中华人民共和国计算机信息系统安全保护条例中的定义为：“计算机

3、病毒是指编制或者在计算机程序中插入的破坏(phui)计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。返回本节共七十七页8.1.2计算机病毒的发展(fzhn)历史1计算机病毒发展简史 世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。 1988年11月2日晚，美国康尔大学研究生罗特莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响(yngxing)，直接经济损失近亿美

4、元。 共七十七页2计算机病毒在中国的发展情况 在我国，80年代末，有关(yugun)计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。 1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代，计算机病毒在国内的泛滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。共七十七页3计算机病毒发展的10个阶段(jidun)（1）DOS引导阶段 （2）DOS可执行文件阶段 （3）混合型阶段 （4）伴随型阶段 （5）多形型阶段 （6）生成器，变体机阶段 （7）

5、网络，蠕虫阶段 （8）Windows阶段 （9）宏病毒阶段 （10）Internet阶段 返回(fnhu)本节共七十七页8.1.3计算机病毒的分类(fn li)病毒种类众多，分类如下(rxi)：1按传染方式分为引导型、文件型和混合型病毒2按连接方式分为源码型、入侵型、操作系统型和外壳型病毒3按破坏性可分为良性病毒和恶性病毒4网络病毒返回本节共七十七页8.1.4计算机病毒的特点(tdin)（1）刻意编写，人为破坏 （2）自我(zw)复制能力 （3）夺取系统控制权 （4）隐蔽性 （5）潜伏性 （6）不可预见性 返回本节共七十七页8.1.5计算机病毒的隐藏(yncng)之处和入侵途径1病毒的隐藏之处

6、 （1）可执行文件。 （2）引导扇区。（ 3）表格和文档。 （4）Java小程序和ActiveX控件。 2病毒的入侵途径(tjng) （1）传统方法 （2）Internet 返回本节共七十七页8.1.6现代(xindi)计算机病毒的流行特征1攻击对象趋于混合型 2反跟踪技术 3增强隐蔽性 4加密技术处理 5病毒繁衍不同(b tn)变种 共七十七页增强隐蔽性：（1）避开修改中断向量值 （2）请求在内存中的合法身份 （3）维持(wich)宿主程序的外部特性 （4）不使用明显的感染标志 共七十七页加密技术处理 ：（1）对程序段动态加密(ji m) （2）对显示信息加密 （3）对宿主程序段加密 返回(

7、fnhu)本节共七十七页8.1.7计算机病毒的破坏(phui)行为（1）攻击系统数据区 （2）攻击文件 （3）攻击内存 （4）干扰系统运行，使运行速度(sd)下降 （5）干扰键盘、喇叭或屏幕 （6）攻击CMOS （7）干扰打印机 （8）网络病毒破坏网络系统 返回本节共七十七页8.1.8计算机病毒的作用(zuyng)机制1计算机病毒的一般构成(guchng) 2计算机病毒的引导机制 3计算机病毒的传染机制 4计算机病毒的破坏机制 共七十七页一个(y )引导病毒传染的实例 假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自举以后，小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段

8、，即97C0：7C00处；然后修改INT 13H的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操作通过INT 13H的作用，计算机病毒的传染块便率先取得(qd)控制权，它就进行如下操作：共七十七页1）读入目标软磁盘的自举扇区（BOOT扇区）。2）判断(pndun)是否满足传染条件。3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。4）跳转到原INT 13H的入口执行正常的磁盘系统操作。 共七十七页一个文件病毒传染(chunrn)的实例

9、假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么运行该文件后，耶路撒冷病毒的引导模块会修改INT 21H的中断向量，使之指向病毒传染(chunrn)模块，并将病毒代码驻留内存，此后退回操作系统。以后再有任何加载执行文件的操作，病毒的传染(chunrn)模块将通过INT 21H的调用率先获得控制权，并进行以下操作：共七十七页1）读出该文件特定部分。2）判断是否传染。3）如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。4）转回原INT 21H入口，对该执行文件进行(jnxng)正常加载。共七十七页计算机病毒的传染(chunrn)过程计算机病毒的传染

10、过程(guchng)1）驻入内存。2）判断传染条件。3）传染。 返回本节共七十七页8.2DOS环境(hunjng)下的病毒8.2.1DOS基本知识介绍(jisho)8.2.2常见DOS病毒分析返回本章首页共七十七页8.2.1DOS基本知识介绍(jisho)1DOS的基本(jbn)结构 2DOS启动过程 3DOS的程序加载过程 4DOS的中断系统 共七十七页1DOS的基本(jbn)结构 （1）引导记录模块 （2）基本输入输出管理(gunl)模块 （3）核心模块 （4）SHELL模块 共七十七页2DOS启动(qdng)过程 PC X86系列计算机设计时，都使地址0FFFF0H处于ROM区中，并将该

11、地址的内容设计为一条跳转指令并首先执行它，这样就将控制权交给了自检程序和ROM引导装入程序。启动过程(guchng)为：硬件自检自举系统初始化内核初始化建立系统运行环境COMMAND.COM初始化。共七十七页3DOS的程序(chngx)加载过程 （1）COMMAND处理命令的过程(guchng) （2）.EXE文件的加载 （3）.COM文件的加载 共七十七页4DOS的中断(zhngdun)系统 （1）中断向量表 （2）中断响应过程(guchng) （3）计算机病毒经常使用的中断 共七十七页多数病毒经常使用磁盘服务(fw)中断和时钟中断。1）ROM BIOS软中断INT 13H。 2）磁盘逻辑扇

12、区读/写中断INT 25H、INT 26H。 3）间隔(jin g)时钟中断INT 1CH。 4）时钟中断INT 8H。是ROM BIOS硬中断，其向量地址为0000:0020H0000:0023H。 5）屏幕显示中断INT 10H。向量地址为0000:0040H0000:0043H。 6）程序正常结束中断INT 20H。是DOS软中断，其向量地址为0000:00800000:0083H。 7）系统功能调用中断INT 21H。 返回本节共七十七页8.2.2常见(chn jin)DOS病毒分析1引导(yndo)记录病毒 （1）引导型病毒的传播、破坏过程 （2）引导型病毒实例：火炬病毒 2文件型病

13、毒（1）文件型病毒的类型 （2）文件型病毒的感染方式 （3）.COM文件的感染 （4）.EXE文件的感染 （5）.SYS文件的感染 共七十七页 （a）引导(yndo)型病毒 （b）文件(wnjin)型病毒图8.1病毒的传播、破坏过程返回本节共七十七页8.3宏病毒8.3.1宏病毒的分类8.3.2宏病毒的行为和特征(tzhng)8.3.3宏病毒的特点8.3.4宏病毒的防治和清除方法返回(fnhu)本章首页共七十七页8.3.1宏病毒的分类(fn li)1公（共）用宏病毒这类宏病毒对所有的Word文档有效，其触发(chf)条件是在启动或调用Word文档时，自动触发执行。它有两个显著的特点：1）只能用“

14、Autoxxxx”来命名，即宏名称是用“Auto”开头，xxxx表示的是具体的一种宏文件名。如AutoOpen、AutoClose、AutoCopy等。2）它们一定要附加在Word共用模板上才有“公用”作用。通常在用户不规定和另行编制其他的公用模板时，它们应是附加在Normal.dot模板上，或者首先要能将自己写进这样的模板才行。共七十七页2私用宏病毒私用宏病毒与公用(gngyng)宏病毒的主要区别是：前者一般放在用户自定义的Word模板中，仅与使用这种模板的Word文档有关，即只有使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私用宏病毒一般不起作用。返回(fnhu)本节共七

15、十七页8.3.2宏病毒的行为(xngwi)和特征 宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在Windows、Windows 95/98/NT、OS/2、Macintosh System7等操作系统上执行病毒(bngd)行为。 宏病毒的主要特征如下：1）宏病毒会感染.DOC文档和.DOT模板文件。 2）宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。 共七十七页3）多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 4）宏病毒中总是含有对文档读写操作的宏命令。5）

16、宏病毒在.DOC文档、.DOT模板中以BFF（Binary File Format）格式存放，这是一种加密(ji m)压缩格式，每个Word版本格式可能不兼容。6）宏病毒具有兼容性。 返回(fnhu)本节共七十七页8.3.3宏病毒的特点(tdin)1传播极快 2制作(zhzu)、变种方便3破坏可能性极大 返回本节共七十七页8.3.4宏病毒的防治和清除(qngch)方法 Word宏病毒(bngd)，是近年来被人们谈论得最多的一种计算机病毒(bngd)。与那些用复杂的计算机编程语言编制的病毒(bngd)相比，宏病毒(bngd)的防治要容易得多！在了解了Word宏病毒的编制、发作过程之后，即使是普通

17、的计算机用户，不借助任何杀毒软件，就可以较好地对其进行防冶。 1查看“可疑”的宏 2按使用习惯编制宏 3防备Autoxxxx宏 共七十七页4小心使用外来的Word文档 5使用选项“Prompt to Save Normal Template” 6通过Shift键来禁止运行(ynxng)自动宏 7查看宏代码并删除 8使用Disable Auto Marcros宏 9使用OFFICE 97的报警设置 10设置Normal.dot的只读属性 11Normal.dot的密码保护 12创建Payload宏 13使用Word Viewer或Word Pad 14将文档存储为RTF格式 返回(fnhu)本节

18、共七十七页8.4网络(wnglu)计算机病毒8.4.1网络计算机病毒的特点(tdin)8.4.2网络对病毒的敏感性8.4.3网络病毒实例电子邮件病毒返回本章首页共七十七页8.4.1网络(wnglu)计算机病毒的特点在网络环境中，计算机病毒具有如下一些新的特点：（1）传染方式多 （2）传染速度快 （3）清除(qngch)难度大 （4）破坏性强 （5）可激发性 （6）潜在性 返回本节共七十七页8.4.2网络(wnglu)对病毒的敏感性1网络对文件病毒(bngd)的敏感性2网络对引导病毒的敏感性 3网络对宏病毒的敏感性 共七十七页1网络对文件(wnjin)病毒的敏感性（1）网络(wnglu)服务器上

19、的文件病毒 （2）端到端网络上的文件病毒 （3）Internet上的文件病毒 共七十七页2网络(wnglu)对引导病毒的敏感性 （1）网络(wnglu)服务器上的引导病毒 （2）端到端网络上的引导病毒 （3）Internet上的引导病毒 共七十七页3网络(wnglu)对宏病毒的敏感性 （1）网络(wnglu)服务器上的宏病毒 （2）端到端网络上的宏病毒 （3）Internet上的宏病毒 返回本节共七十七页8.4.3网络病毒(bngd)实例电子邮件病毒1电子邮件病毒的特点（1）邮件格式不统一，杀毒困难 （2）传播速度快，传播范围广，破坏力大 2电子邮件病毒的防范措施 1）首先，不要轻易打开陌生人

20、来信中的附件文件。 2）对于比较熟悉、了解的朋友们寄来的信件，如果(rgu)其信中夹带了程序附件，但是他却没有在信中提及或是说明，也不要轻易运行。 共七十七页3）给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的计算机中试试，确认没有问题后再发，以免好心办了坏事。 4）不断完善“网关”软件及病毒防火墙软件，加强对整个网络入口点的防范。5）使用优秀(yuxi)的防毒软件对电子邮件进行专门的保护。 6）使用防毒软件同时保护客户机和服务器。 7）使用特定的SMTP杀毒软件。 返回(fnhu)本节共七十七页8.5反病毒技术(jsh)8.5.1计算机病毒的检测8.5.2计算机病毒(bngd)的防治8

21、.5.3计算机感染病毒后的修复返回本章首页共七十七页8.5.1计算机病毒的检测(jin c)1异常情况判断(pndun)2计算机病毒的检查共七十七页1异常情况判断(pndun)计算机工作出现下列异常现象，则有可能感染了病毒：1）屏幕(pngm)出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。2）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。3）磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。4）硬盘不能引导系统。5）磁盘上的文件或程序丢失。 共七十七页6）磁盘读/写文件(wnjin)明显变慢

22、，访问的时间加长。7）系统引导变慢或出现问题，有时出现“写保护错”提示。8）系统经常死机或出现异常的重启动现象。9）原来运行的程序突然不能运行，总是出现出错提示。10）打印机不能正常启动。共七十七页2计算机病毒的检查(jinch)（1）检查磁盘(c pn)主引导扇区（2）检查FAT表（3）检查中断向量（4）检查可执行文件（5）检查内存空间（6）根据特征查找返回本节共七十七页8.5.2计算机病毒(bngd)的防治1建立、健全法律(fl)和管理制度 2加强教育和宣传 3采取更有效的技术措施 4网络计算机病毒的防治 共七十七页采取更有效(yuxio)的技术措施 （1）系统安全 （2）软件过滤 （3）

23、文件加密 （4）生产过程控制 （5）后备恢复 （6）其他(qt)有效措施 共七十七页其他有效(yuxio)措施 1）重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能，避免病毒写到磁盘上或可执行文件中。 2）消灭传染源。 3）建立程序的特征值档案。4）严格内存管理。 5）严格中断向量的管理。 6）强化物理访问控制措施 7）一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经验的专家处理，必要时需报告计算机安全监察部门，特别(tbi)要注意不要使其继续扩散。共七十七页防范计算机网络病毒的一些(yxi)措施： 1）在网络中，尽量多用无盘工作站，不用或少用有软驱(run q)的工作站。 2）在网

24、络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。 3）对非共享软件，将其执行文件和覆盖文件如*.COM、*.EXE、*.OVL等备份到文件服务器上，定期从服务器上拷贝到本地硬盘上进行重写操作。4）接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再拷贝到本地硬盘上。共七十七页5）工作站采用防病毒芯片，这样可防止引导型病毒。6）正确设置文件属性，合理规范用户的访问权限。 7）建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。 8）目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体

25、注射疫苗是同样的道理。采用优秀(yuxi)的网络防病毒软件，如LAN Protect和LAN Clear for NetWare等。9）为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与Internet，用户与网络之间进行隔离。 返回(fnhu)本节共七十七页8.5.3计算机感染病毒(bngd)后的修复1修复引导记录病毒（1）修复感染的软盘（2）修复感染的主引导记录（3）利用(lyng)反病毒软件修复共七十七页2修复可执行文件病毒 即使有经验的用户也会认为修复文件病毒感染很困难。一般(ybn)要先用杀病毒软件杀毒，再用未感染的备份拷贝代替它，这是修复被感染程序文件的最有效途径。如果得不到备

26、份，反病毒程序一般(ybn)使用它们的病毒扫描器组件检测并修复感染的程序文件。如果文件被非覆盖型病毒感染，那么这个程序很可能会被修复。返回(fnhu)本节共七十七页8.6软件防病毒(bngd)技术8.6.1防、杀毒软件的选择8.6.2反病毒软件(run jin)8.6.3常用反病毒软件产品返回本章首页共七十七页8.6.1防、杀毒软件的选择(xunz)1防、杀毒软件的选购指标 2上网一族常用的防、杀毒软件 3著名杀毒软件公司(n s)的站点地址 共七十七页1防、杀毒软件的选购(xun u)指标 （1）扫描速度 （2）识别率 （3）病毒清除(qngch)测试 共七十七页2上网(shn wn)一族常

27、用的防、杀毒软件 Commands FPROT专业版For Win95。Norton AntiVirus For Win95。Norton AntiVirus For WinNT。PCCillin AntiVirus For Win95。Virus Scan For Win95。Web ScanX For Win95或NT。eSafe Protect For Win95等等(dn dn)。共七十七页3著名杀毒软件公司(n s)的站点地址 表8.1著名(zhmng)杀毒软件公司的网址返回本节共七十七页8.6.2反病毒软件(run jin)1病毒扫描(somio)程序 2内存扫描程序 3完整性检查

28、器 4行为监视器 共七十七页1病毒(bngd)扫描程序 （1）串扫描算法 （2）入口(r ku)点扫描算法 （3）类属解密法 共七十七页2内存(ni cn)扫描程序 内存扫描程序采用与病毒扫描程序同样的基本原理进行工作。它的工作是扫描内存以搜索内存驻留文件(wnjin)和引导记录病毒。尽管病毒可以毫无觉察的把自己隐藏在程序和文件中，但病毒不能在内存中隐藏自己。因此内存扫描程序可以直接搜索内存，查找病毒代码。如果一个反病毒产品不使用内存扫描，其病毒检测技术是很不完善的，很可能漏查、漏杀某些病毒。共七十七页3完整性检查器 完整性检查器的工作(gngzu)原理基于如下的假设：在正常的计算机操作期间，

29、大多数程序文件和引导记录不会改变。这样，计算机在未感染状态，取得每个可执行文件和引导记录的信息指纹，将这一信息存放在硬盘的数据库中。 完整性检查器是一种强有力的防病毒保护方式。因为几乎所有的病毒都要修改可执行文件引导记录，包括新的未发现的病毒，所以它的检测率几乎百分之百。引起完整性检查器失效的可能有：有些程序执行时必须要修改它自己；对已经被病毒感染的系统再使用这种方法时，可能遭到病毒的蒙骗等。共七十七页4行为(xngwi)监视器 行为监视器又叫行为监视程序，它是内存驻留程序，这种程序静静地在后台工作，等待(dngdi)病毒或其他有恶意的损害活动。如果行为监视程序检测到这类活动，它就会通知用户，

30、并且让用户决定这一类活动是否继续。返回本节共七十七页8.6.3常用(chn yn)反病毒软件产品 随着世界范围内计算机病毒(bngd)的大量流行，病毒(bngd)编制花样不断变化，反病毒(bngd)软件也在经受一次又一次考验，各种反病毒(bngd)产品也在不断地推陈出新、更新换代。这些产品的特点表现为技术领先、误报率低、杀毒效果明显、界面友好、良好的升级和售后服务技术支特、与各种软硬件平台兼容性好等方面。常用的反病毒(bngd)软件有KV3000、瑞星（2001版）等。返回本节共七十七页8.7典型病毒(bngd)实例CIH病毒介绍8.7.1CIH病毒简介(jin ji)8.7.2恢复被CIH病

31、毒破坏的硬盘信息8.7.3CIH病毒的免疫返回本章首页共七十七页8.7.1CIH病毒(bngd)简介1CIH病毒分析 CIH病毒是迄今为止发现的最阴险、危害最大的病毒之一。它发作时不仅破坏硬盘的引导扇区和分区表，而且破坏计算机系统FLASH BIOS芯片中的系统(xtng)程序，导致主板损坏。2CIH病毒发作时的现象 CIH病毒发作时，将用凌乱的信息覆盖硬盘主引导区和系统BOOT区，改写硬盘数据，破坏FLASH BIOS，用随机数填充FLASH内存，导致机器无法运行。所以该病毒发作时仅会破坏可升级主板的FLASH BIOS。返回本节共七十七页8.7.2恢复(huf)被CIH病毒破坏的硬盘信息1

32、修复硬盘分区表信息 2恢复C分区(fn q)上的数据 3查杀CIH病毒后的遗留问题 共七十七页1修复(xif)硬盘分区表信息 1）准备一张无病毒的启动盘，注意要根据原有操作系统及分区情况制作FAT16或FAT32的系统引导盘。2）把下载的VRVFIX.EXE文件拷入该引导盘，要确保还有足够的剩余空间，并打开写保护。3）用这张引导盘引导染毒的计算机（如果主板的BIOS已被CIH病毒破坏，可把硬盘拆下，拿到别的计算机上进行，也可先把主板BIOS修复好后再处理硬盘），运行VRVFIX.EXE，按Enter开始计算分区信息并自动恢复(huf)，当出现提示时，按Enter，直到出现“Make Partition Table ok”。4）至此，修复完成，用引导盘重新引导系统，除C盘以外的其他逻辑分区（D、E、F.）的数据已经修复，但仍然无法访问C分区。共七十七页2恢复C分区(fn q)上的数据 1）制作一张